Zahlungsverkehr - Outsourcing Rahmenbedingungen

Gemäß §§ 26, 27 des ZAG werden spezifische Anforderungen an die Auslagerung von Aktivitäten und Prozessen, die für die Erbringung von Zahlungsdiensten essenziell sind, gestellt. Dies umfasst sowohl IT-Systeme als auch andere wesentliche Dienstleistungen, die für die Durchführung dieser Aktivitäten unerlässlich sind. Die gesetzlichen Vorgaben zielen darauf ab, die Integrität und Zuverlässigkeit der Zahlungsdienstleister zu gewährleisten, indem sie angemessene Vorkehrungen zur Vermeidung von übermäßigen Risiken fordern.

Eine Schlüsselkomponente des ZAG ist die ordnungsgemäße Handhabung von Auslagerungen. Zahlungsdienstleister sind angehalten, Maßnahmen zu ergreifen, die sicherstellen, dass die Auslagerung von wesentlichen Aktivitäten weder die Geschäftsabläufe noch die Dienstleistungsqualität negativ beeinflusst. Dazu gehört insbesondere die Aufrechterhaltung einer angemessenen Geschäftsorganisation und die Einhaltung aller regulatorischen Anforderungen.

Der § 26 ZAG hebt die Bedeutung der IT-Sicherheit im Rahmen der Auslagerung hervor. Zahlungsdienstleister müssen gewährleisten, dass IT-bezogene Auslagerungen den hohen Anforderungen an die Sicherheit, Verfügbarkeit und Integrität der IT-Systeme entsprechen. Dies beinhaltet nicht nur die technischen Aspekte, sondern auch die organisatorischen Maßnahmen, um eine lückenlose Überwachung und Steuerung der ausgelagerten IT-Dienstleistungen zu ermöglichen.

Die Digitalisierung im Finanzsektor erfordert eine stetige Anpassung und Modernisierung der IT-Systeme und -Prozesse. Die Gewährleistung von Sicherheit und Effizienz in der Informationstechnologie ist dabei von höchster Bedeutung. Hier setzen die zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) an, um einen regulativen Rahmen für Zahlungs- und E-Geld-Institute im Umgang mit IT-Ressourcen und deren Auslagerung zu schaffen.

Das Rundschreiben 11/2021 (BA) vom 16.08.2021, bekannt als ZAIT, konkretisiert die Erwartungen der Aufsichtsbehörden an die IT-Systeme und IT-Prozesse von Zahlungs- und E-Geld-Instituten. ZAIT ergänzt damit die gesetzlichen Vorgaben, insbesondere diejenigen des ZAG, indem es detaillierte Anforderungen an das Management von IT-Ressourcen, den IT-Betrieb, IT-Sicherheit, und den Umgang mit IT-Auslagerungen formuliert.

IT-Fremdbezug und Auslagerung

Ein zentraler Aspekt der ZAIT ist die Regelung des Fremdbezugs und der Auslagerung von IT-Dienstleistungen. Institute müssen gemäß Abschnitt 9 der ZAIT sicherstellen, dass ausgelagerte IT-Dienstleistungen den hohen Anforderungen an Sicherheit, Stabilität und Compliance genügen. Dies beinhaltet eine sorgfältige Auswahl der Dienstleister, eine präzise Vertragsgestaltung sowie eine kontinuierliche Überwachung und Bewertung der erbrachten Leistungen.

Risikobewertung bei IT-Bezug
ZAIT legt fest, dass bei jedem Bezug von Hard- und Software die damit verbundenen Risiken adäquat zu bewerten sind. Diese Risikobewertung ist essentiell, um sicherzustellen, dass die integrierten Systeme und Anwendungen nicht nur den operativen Anforderungen des Instituts entsprechen, sondern auch die Sicherheit der verarbeiteten Daten gewährleisten und die Resilienz gegenüber potenziellen Cyber-Bedrohungen stärken.

Definition und Umfang der IT-Auslagerung
In Anlehnung an § 26 ZAG in Verbindung mit dem Abschnitt 9 der ZAIT wird präzisiert, was unter einer IT-Auslagerung zu verstehen ist: Die Übertragung von IT-bezogenen Aktivitäten und Prozessen, die für die Durchführung von Bankgeschäften, Finanzdienstleistungen oder anderen institutstypischen Dienstleistungen notwendig sind, auf ein externes Unternehmen. Hierbei ist entscheidend, dass diese Aktivitäten und Prozesse unter der Verantwortung des auslagernden Instituts bleiben und dessen strategische Ausrichtung, Sicherheit und Compliance nicht beeinträchtigen.

Die Effizienz und Sicherheit von Auslagerungsvereinbarungen spielen eine entscheidende Rolle für die Stabilität und Verlässlichkeit von Finanzinstituten. Die Europäische Bankenaufsichtsbehörde (EBA) hat mit den Leitlinien EBA/GL/2019/02 einen detaillierten Rahmen geschaffen, der die Anforderungen an Auslagerungen für Kreditinstitute und Zahlungsdienstleister definiert.

Gemäß den Leitlinien der EBA ist eine Auslagerung als eine Vereinbarung in jeglicher Form zwischen einem Institut und einem Dienstleister zu verstehen, in deren Rahmen der Dienstleister Prozesse durchführt, Dienstleistungen erbringt oder Aktivitäten ausführt, die ansonsten intern vom Institut selbst übernommen würden. Diese Definition umfasst ein breites Spektrum an Dienstleistungen und Aktivitäten und betont die Notwendigkeit, Auslagerungen sorgfältig zu prüfen und zu managen.

Rechtliche und regulatorische Compliance
Ein kritischer Aspekt der Leitlinien ist die Betonung darauf, dass bei allen Auslagerungsvereinbarungen die Einhaltung relevanter rechtlicher und regulatorischer Anforderungen gewährleistet sein muss. Dies beinhaltet unter anderem Gesetze zur Geldwäschebekämpfung und zum Datenschutz. Die Einhaltung dieser Vorgaben stellt sicher, dass die ausgelagerten Dienstleistungen nicht nur den internen Standards des Instituts entsprechen, sondern auch alle externen rechtlichen Verpflichtungen erfüllen.

Anzeigepflichten
Besonders wichtig ist die Regelung, dass Institute, die wesentliche Betriebsaufgaben auslagern möchten, verpflichtet sind, die BaFin und die Deutsche Bundesbank darüber in Kenntnis zu setzen. Dieser Schritt ist sowohl vor der geplanten Auslagerung als auch nach dem Vollzug der Auslagerung erforderlich. Die EBA-Leitlinien betonen damit die Transparenz und die Notwendigkeit einer kontinuierlichen Aufsicht über Auslagerungsarrangements. Die Anforderungen für die Anzeige solcher Auslagerungen wurden jüngst durch die Zweite Verordnung zur Änderung der ZAG-Anzeigenverordnung präzisiert, welche die elektronische Einreichung von anzeigepflichtigen Umständen über das MVP-Portal bei der BaFin vorschreibt.

Analyse der Geschäftsstrategie und -ziele

• Bewertung der langfristigen Geschäftsziele und der strategischen Ausrichtung des Unternehmens.

• Identifikation von Bereichen, in denen Auslagerungen zur Steigerung der Effizienz, zur Kostensenkung oder zur Verbesserung der Dienstleistungsqualität beitragen können.

Bestandsaufnahme und Bewertung interner Ressourcen

• Durchführung einer umfassenden Bewertung der vorhandenen internen Kapazitäten, Fähigkeiten und Technologien.

• Identifikation von Lücken oder Engpässen, die durch externe Dienstleister effektiver oder effizienter geschlossen bzw. bewältigt werden können.

Risiko- und Kosten-Nutzen-Analyse

• Abschätzung der potenziellen Risiken und Kosten, die mit der Auslagerung verbunden sind, sowie der erwarteten Vorteile.

• Berücksichtigung von direkten und indirekten Kosten, Übergangsrisiken, operationalen Risiken und Compliance-Risiken.

Klare Definition der auszulagernden Dienstleistungen

• Detaillierte Beschreibung der auszulagernden Prozesse, Dienstleistungen oder Aktivitäten.

• Festlegung der Qualitätsstandards, Leistungsindikatoren und Compliance-Anforderungen.

Bestimmung der regulatorischen Anforderungen

• Identifikation der spezifischen gesetzlichen und regulatorischen Vorschriften, die für die ausgelagerten Dienstleistungen relevant sind.

• Sicherstellung, dass potenzielle Dienstleister die Fähigkeit haben, diese Anforderungen zu erfüllen

Entwicklung eines Anforderungskatalogs

• Erstellung eines detaillierten Anforderungskatalogs, der sowohl funktionale als auch nicht-funktionale Kriterien umfasst.

• Berücksichtigung von Aspekten wie Datensicherheit, Datenschutz, Verfügbarkeit, Skalierbarkeit, Flexibilität und Kosten

Stakeholder-Einbindung

• Einbeziehung relevanter interner und externer Stakeholder in den Prozess der Anforderungsdefinition.

• Sammeln und Konsolidieren von Feedback und Anforderungen aus verschiedenen Unternehmensbereichen.

Die Bewertung einer Auslagerung ist ein kritischer Schritt im Auslagerungsmanagementprozess. Dabei geht es nicht nur darum zu entscheiden, ob eine Dienstleistung ausgelagert werden soll, sondern auch um die Bewertung des Dienstleisters und die Klassifizierung der Auslagerung. Diese Bewertung basiert auf einer risikoorientierten Analyse, die hilft, die Art der Auslagerung zu bestimmen (ob es sich um eine allgemeine Auslagerung, eine IT-Auslagerung oder einen IT-Fremdbezug handelt) und das Risikoniveau sowie die Wesentlichkeit der ausgelagerten Dienstleistung zu ermitteln.

Analyse der Dienstleistung

• Detaillierte Bewertung der auszulagernden Dienstleistung hinsichtlich ihres Umfangs, ihrer Komplexität und ihrer Bedeutung für das Unternehmen.

• Identifizierung der mit der Dienstleistung verbundenen Risiken, einschließlich operationaler, rechtlicher, Compliance- und Reputationsrisiken.

Bewertung des Dienstleisters

• Prüfung der Zuverlässigkeit, Leistungsfähigkeit und Compliance des Dienstleisters.

• Bewertung der finanziellen Stabilität, der technischen Fähigkeiten und der Erfahrung des Dienstleisters im relevanten Bereich.

Auslagerung

• Eine allgemeine Auslagerung liegt vor, wenn externe Dienstleister mit der Durchführung von Prozessen, Dienstleistungen oder Aktivitäten beauftragt werden, die sonst intern erbracht würden.

IT-Auslagerung

• Bei IT-Auslagerungen werden IT-bezogene Aktivitäten und Prozesse an einen externen Dienstleister übertragen. Diese umfassen oft die Entwicklung, Wartung und den Betrieb von IT-Systemen.

IT-Fremdbezug

• IT-Fremdbezug bezieht sich auf den Erwerb standardisierter IT-Leistungen von Drittanbietern, wie Cloud-Services oder Softwarelizenzen, die nicht spezifisch für das Unternehmen angepasst sind.

• Eine Auslagerung gilt als wesentlich, wenn ihr Ausfall oder ihre Beeinträchtigung die Fähigkeit des Unternehmens, seinen Geschäftsaktivitäten nachzukommen, seine finanzielle Leistungsfähigkeit, seine Kunden oder die Integrität des Marktes ernsthaft gefährden würde.

• Bei der Bewertung der Wesentlichkeit werden Faktoren wie der Einfluss auf die Geschäftskontinuität, die Kundenbeziehungen, die Compliance mit gesetzlichen und regulatorischen Anforderungen und die Risikoexposition berücksichtigt.

• Die Ergebnisse der Bewertung und der Klassifizierung sollten sorgfältig dokumentiert werden, um Compliance zu gewährleisten und die Entscheidungsfindung zu unterstützen.

• Ein kontinuierliches Monitoring der Auslagerung und des Dienstleisters ist erforderlich, um sicherzustellen, dass die Leistung den Vereinbarungen entspricht und die Risiken angemessen verwaltet werden.

Die Einhaltung der EBA-Leitlinien, insbesondere im Kontext von Auslagerungen und dem sonstigen Fremdbezug von Dienstleistungen, erfordert eine genaue Abgrenzung und Dokumentation der unterschiedlichen Arten von Dienstleistungsbeziehungen. Nach den EBA Guidelines (EBA/GL/2019/02) unter Titel II – Bewertung von Auslagerungsvereinbarungen, Kapitel 3, Ziffer 28, wird klargestellt, dass, wenn es sich um einen sonstigen Fremdbezug handelt, der nach Definition keine Auslagerung darstellt, keine gesonderte Risikoanalyse und Überwachung (RuW-Analyse) erstellt werden muss

Trotz der Tatsache, dass ein sonstiger Fremdbezug nicht als Auslagerung im Sinne der EBA-Leitlinien gilt und daher keine umfassende Risikoanalyse und Überwachung erfordert, ist es dennoch notwendig, dass der Fremdbezug dokumentiert wird.

• Erfassung im Auslagerungsregister
  Alle Informationen bezüglich des Fremdbezugs sollten in einem zentralen Register erfasst werden. Dies umfasst die Art der bezogenen Dienstleistung, den Namen des Dienstleisters, die Laufzeit der Vereinbarung und relevante finanzielle Konditionen.
  
  
• Verantwortlichkeit
  Die Auslagerungsbeauftragte ist in der Regel für die Führung und Aktualisierung dieses Registers verantwortlich. Sie stellt sicher, dass alle Informationen korrekt und auf dem neuesten Stand sind.
  
  
• Zugänglichkeit
  Das Auslagerungsregister sollte so gestaltet sein, dass es leicht zugänglich und für die relevanten Stakeholder einsehbar ist. Dies ermöglicht eine effiziente Überprüfung und Kontrolle der externen Dienstleistungsbeziehungen.

Die Dokumentation des sonstigen Fremdbezugs, auch wenn er keine umfassende Risikoanalyse erfordert, spielt eine wichtige Rolle für die interne Kontrolle und das Risikomanagement des Unternehmens. Sie hilft dabei, die Abhängigkeit von externen Dienstleistern zu überwachen und sicherzustellen, dass alle Dienstleistungen in Einklang mit den strategischen Zielen und regulatorischen Anforderungen stehen.

Die EBA-Guidelines (EBA/GL/2019/02) zum Management von Auslagerungen bieten klare Richtlinien darüber, welche Arten von Dienstleistungsbeziehungen als Auslagerungen zu betrachten sind und welche nicht. Gemäß diesen Leitlinien wird der sonstige Fremdbezug von Dienstleistungen, der nicht direkt IT-Leistungen betrifft, differenziert behandelt.

Die folgenden Fälle werden gemäß den EBA-Guidelines typischerweise nicht als Auslagerungen betrachtet, da sie entweder standardisierte Dienstleistungen darstellen oder solche, die außerhalb der primären Geschäftsaktivitäten liegen:

a) Abschlussprüfungen

Diese sind in der Regel gesetzlich vorgeschrieben und werden von externen Prüfungsgesellschaften durchgeführt.

b) Marktinformationsdienste
Die Bereitstellung von Finanz- und Marktdaten durch Dritte wie Bloomberg, Moody’s, Standard & Poor’s, oder Fitch, die für die Analyse und Entscheidungsfindung genutzt werden.

c) Sonstige Dienstleistungen, die sonst nicht intern erbracht werden

• Rechtliche Dienstleistungen: Bereitstellung von Rechtsgutachten und Vertretung vor Gericht und Verwaltungsbehörden.

• Facility-Management-Dienstleistungen: Reinigung, Sicherheitsdienste, und weitere Dienstleistungen zur Instandhaltung von Geschäftsräumen.

• Medizinische Dienstleistungen: Angebot von Gesundheitsdienstleistungen für Mitarbeiter.

• Büro- und Administrationsdienstleistungen: Bürodienstleistungen, Reisedienstleistungen, Poststellendienste, Bereitstellung von Rezeptions- und Sekretariatskräften sowie Telefonisten.

• Waren und Versorgungsleistungen: Beschaffung von Plastikkarten, Kartenlesegeräten, Büromaterial, Computern, Möbeln und Versorgungsleistungen wie Strom, Gas, Wasser, Telefon.

• Beratungsleistungen: Diese können in verschiedenen Formen auftreten, solange sie nicht kritische oder wesentliche Funktionen des Instituts betreffen.

Eine klare Unterscheidung zwischen Auslagerungen und sonstigem Fremdbezug ist für Finanzinstitute aus mehreren Gründen wesentlich:

• Regulatorische Compliance
  Die Einhaltung der EBA-Guidelines und anderer regulatorischer Anforderungen.

• Risikomanagement
  Die Identifizierung und das Management von Risiken unterscheiden sich zwischen ausgelagerten Dienstleistungen und sonstigem Fremdbezug.

• Operative Effizienz
  Die Entscheidung, Dienstleistungen fremd zu beziehen, kann auf Effizienzsteigerung, Kostenreduktion oder dem Zugang zu spezialisiertem Wissen abzielen.

Der sonstige Fremdbezug von IT-Dienstleistungen bezieht sich im Allgemeinen auf den Erwerb und die Nutzung von Software und zugehörigen Dienstleistungen, die nicht zentral für die Kerngeschäftsprozesse eines Unternehmens sind.

• Anpassung der Software: Anpassung von Standardsoftware an die spezifischen Anforderungen der OTTO Payments.

• Entwicklungstechnische Umsetzung: Realisierung von Änderungswünschen, die über standardmäßige Konfigurationseinstellungen hinausgehen.

• Testen und Implementierung: Durchführung von Tests und die erstmalige Implementierung der Software in die Produktionsumgebung, sowie bei signifikanten Updates.

• Fehlerbehebungen: Wartung und Support gemäß den Vorgaben des Auftraggebers oder des Softwareherstellers.

• Unterstützungsleistungen: Weitere Dienstleistungen, die über Standardberatung hinausgehen und zur Nutzung der Software notwendig sind.

Die generelle Risikoanalyse konzentriert sich auf die Erstbewertung der Risiken, die mit einer Auslagerung verbunden sind. Dabei werden verschiedene Szenarien berücksichtigt, insbesondere solche, die eine wesentliche Beeinträchtigung der Geschäftstätigkeit zur Folge haben könnten.

• Beeinträchtigung der kontinuierlichen Einhaltung der Zulassungsbedingungen
  Eine Auslagerung darf nicht dazu führen, dass das Unternehmen nicht mehr in der Lage ist, die regulatorischen Anforderungen und Zulassungsbedingungen zu erfüllen.
  
  
• Beeinträchtigung der Liquiditätssituation
  Es muss sichergestellt sein, dass durch die Auslagerung die Liquidität des Unternehmens nicht negativ beeinflusst wird.
  
  
• Beeinträchtigung der Zahlungsdienste
  Insbesondere bei Zahlungsdienstleistern muss die Auslagerung ohne negative Auswirkungen auf die Qualität und Zuverlässigkeit der angebotenen Zahlungsdienste erfolgen.
  
  
• Auslagerung von operationellen Aufgaben interner Kontrollfunktionen
  Die Auslagerung darf die Wirksamkeit der internen Kontrollen nicht beeinträchtigen.
  
  
• Zulassung durch eine zuständige Behörde erforderlich
  Falls für die ausgelagerte Funktion eine gesonderte Zulassung erforderlich ist, muss dies berücksichtigt werden.
  
  
• Unmittelbare Verknüpfung mit der Erbringung von Zahlungsdiensten
  Dienstleistungen, die direkt mit der Erbringung von Zahlungsdiensten zusammenhängen, erfordern eine besonders sorgfältige Prüfung.

Nach der generellen Bewertung folgt eine detaillierte Risikoanalyse, die spezifische Risiken jeder geplanten Auslagerung genauer untersucht. Diese Analyse stützt sich auf eine Metrik, die verschiedene Risikokomponenten wie operationelle Risiken, Compliance-Risiken, Reputationsrisiken und strategische Risiken umfasst.

• Ermittlung der Risikokomponenten
  Identifizierung aller relevanten Risikokomponenten, die durch die Auslagerung beeinflusst werden könnten.

• Gewichtung der Risiken
  Anwendung der im Dokument „Anwender Dokumentation zur RuW-Analyse“ definierten Gewichtung auf die identifizierten Risiken.

• Bewertung der Wesentlichkeit
  Basierend auf der gewichteten Risikoanalyse wird entschieden, ob die Auslagerung als wesentlich einzustufen ist.

Jedes Risikofeld erfordert spezifische Überlegungen und Maßnahmen zur Risikominderung.

• Qualitätsrisiko
  Das Risiko, dass die Leistungsqualität nicht den Erwartungen entspricht oder über die Zeit sinkt.

• Ausfallrisiko
  Das Risiko eines kompletten Ausfalls des Dienstleisters, was zu einer Unterbrechung der entsprechenden Dienstleistungen führen könnte.

• Marktstellungsrisiko
  Das Risiko, das sich aus einer ungünstigen Marktstellung des Dienstleisters ergibt, z. B. durch Monopolstellung.

• Konzentrationsrisiko
  Das Risiko, das durch die Bündelung diverser Leistungen bei einem Dienstleister oder bei miteinander verbundenen Dienstleistern entsteht.

• Ressourcen- und Dokumentationsrisiko
  Risiken, die sich aus mangelhafter Ressourcenausstattung oder Dokumentation des Dienstleisters ergeben

• Vertragsrisiko
  Das Risiko langfristiger Schäden durch Nichteinhaltung des Vertrags.

• Scope-Creep-Risiko
  Das Risiko einer unkontrollierten Ausweitung des Vertragsumfangs durch den Dienstleister.

• Gesetzesverstoß
  Das Risiko eines Reputationsschadens durch Verstöße des Dienstleisters gegen relevante Gesetze.

• Kultur- und Interessenkonflikte
  Risiken, die sich aus einer unpassenden Unternehmenskultur oder Interessenkonflikten ergeben.

• Know-how-Verlust
  Risiken in Bezug auf den Verlust von Fachwissen, Wettbewerbsvorteilen und Prozesseffizienz.

• Datensicherheitsrisiko
  Risiken, die sich aus einem ungewollten Datenaustausch oder unsicheren Netzwerkverbindungen ergeben.

• Controlling-Risiko
  Das Risiko, dass das Auslagerungscontrolling aufgrund fehlender Kennzahlen oder Metriken nicht effektiv umgesetzt werden kann.

• Subcontracting-Risiko
  Risiken, die sich aus der Weiterverlagerung von Dienstleistungen an Sub-Dienstleister ergeben.

• Beendigungsrisiko
  Das Risiko, dass die Auslagerung unerwartet beendet wird und eine schnelle Wiedereingliederung der Dienstleistungen erforderlich macht.

• Jede Auslagerung sollte eine Schutzbedarfsanalyse beinhalten, die die fünf Schutzziele der Informationssicherheit berücksichtigt und bei Bedarf durch den Informationssicherheitsbeauftragten unterstützt wird.

Die Einbindung der maßgeblichen Organisationseinheiten bei der Erstellung der Risikoanalyse und Überwachung (RuW-Analyse) ist ein zentraler Bestandteil des Auslagerungsmanagements gemäß ZAIT Nr. 9.5.

Die Aufgaben und Verantwortlichkeiten der beteiligten Organisationseinheiten sind dabei wie folgt definiert:

• Prüft die RuW-Analyse und das Ergebnis und erteilt ein Votum.

• Betrachtet präventiv effektive Risiken und Schwachstellen.

• Trägt durch Anregungen und Empfehlungen zur Verbesserung des Risikomanagements und des internen Kontrollsystems bei.

• Ist durch die Freigabe der Auslagerungsbeauftragten, des Risikomanagements, des Informationssicherheitsbeauftragten (ISO) und des Datenschutzes vertreten.

• Eine spezielle Einbindung erfolgt bei wesentlichen Auslagerungen.

• Überprüft Risiken auf Plausibilität und gleicht wesentliche Risiken mit dem internen Kontrollsystem (IKS) ab.

• Bestätigt, dass die IT-Sicherheitsanforderungen abgestimmt sind.

• Bestätigt das veranschlagte Budget für die Auslagerung.

• Bestätigt die Kenntnis und Abstimmung der Auslagerung sowie der Vertragsinhalte.

• Bestätigt die Vereinbarung und Abstimmung der Datenschutzbestimmungen gemäß Vertrag.

• Wird einbezogen, sofern die Auslagerung AML-Themen beinhaltet.